APT allineate a Belarus e Russia sono stati collegati a una nuova campagna di spionaggio informatico che sfrutta vulnerabilità di tipo cross-site scripting (XSS) nei server di posta elettronica web Roundcube per prendere di mira oltre 80 aziende. Queste entità si trovano principalmente in Georgia, Polonia e Ucraina. La campagna è stata attribuita a un attore di minaccia noto come Winter Vivern, anche conosciuto come TA473 e UAC0114, e monitorato come Gruppo di Attività di Minaccia 70 (TAG-70) da Recorded Future.
Tecniche e Obiettivi
L’uso delle vulnerabilità di sicurezza in Roundcube da parte di Winter Vivern era già stato evidenziato da ESET in ottobre, insieme ad altri gruppi di minaccia collegati alla Russia, come APT28, APT29 e Sandworm, noti per prendere di mira il software di posta elettronica. Questi attori hanno dimostrato un alto livello di sofisticazione nei loro metodi di attacco, sfruttando tecniche di ingegneria sociale e vulnerabilità XSS nei server di posta elettronica web Roundcube per ottenere accesso non autorizzato ai server di posta mirati, eludendo le difese di organizzazioni governative e militari.
Implicazioni e Considerazioni sulla Sicurezza
Le catene di attacco coinvolgono lo sfruttamento delle falle di Roundcube per consegnare payload JavaScript progettati per esfiltrare le credenziali degli utenti a un server di comando e controllo (C2). Questa campagna, scoperta da Recorded Future, si è svolta dall’inizio di ottobre 2023 e ha continuato fino alla metà del mese con l’obiettivo di raccogliere informazioni sulle attività politiche e militari europee, sovrapponendosi ad ulteriori attività di TAG-70 contro i server di posta del governo dell’Uzbekistan rilevate a marzo 2023.
Impatto geopolitico e obiettivi di spionaggio
TAG-70 ha anche preso di mira le ambasciate iraniane in Russia e nei Paesi Bassi, nonché l’ambasciata georgiana in Svezia, suggerendo un interesse geopolitico più ampio nel valutare le attività diplomatiche dell’Iran, in particolare riguardo al suo sostegno alla Russia in Ucraina. Analogamente, lo spionaggio contro le entità governative georgiane riflette l’interesse nel monitorare le aspirazioni della Georgia verso l’adesione all’Unione Europea (UE) e alla NATO.